陳麗君

?

802.1X和PPPoE認證在晉煤集團網(wǎng)絡中的應用

陳麗君

山西省晉煤集團通信分公司運維中心，山西 晉城 048006

計算機網(wǎng)絡中的常用認證方式有802.1X和PPPoE兩種方式。因此，簡單介紹了這兩種認證方式的優(yōu)缺點以及晉煤集團的網(wǎng)絡現(xiàn)狀。

802.1X協(xié)議；PPPoE協(xié)議；身份認證

1 概述

在企業(yè)內網(wǎng)安全管理中，準入控制是所有終端管理功能實現(xiàn)的基礎所在。采用相應的準入控制技術能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，隔離不安全的電腦。

目前，在網(wǎng)絡中我們常用到的主流用戶接入身份認證方式有802.1X和PPPoE兩種方式。

2 802.1X簡介

802.1x 稱為基于端口的訪問控制協(xié)議。基于端口的訪問控制能夠在利用IEEE 802 LAN的優(yōu)勢基礎上提供一種對連接到局域網(wǎng)（LAN）設備或用戶進行認證和授權的手段。通過這種方式的認證，能夠在 LAN這種多點訪問環(huán)境中提供一種點對點的識別用戶的方式。

802.1X協(xié)議采用典型的客戶端/服務器體系結構，包括三個主要的部分：客戶端（Supplicant System）、認證系統(tǒng)（Authenticator System）以及認證服務器（Authentication Server System）。

客戶端指LAN所連接的一端的實體（entity），它向認證系統(tǒng)（Authenticator）發(fā)起請求，對其身份的合法性進行檢驗。客戶端一般為一個用戶終端系統(tǒng)。該終端系統(tǒng)通常需要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起802.1X協(xié)議的認證過程。

認證系統(tǒng)指在LAN連接的一端用于認證另一端設備的實體（entity）。認證系統(tǒng)也稱NAS（Network Access System，網(wǎng)絡接入系統(tǒng)），通常為支持802.1X協(xié)議的網(wǎng)絡設備。

認證服務器指為認證系統(tǒng)提供認證服務的實體。這里認證服務器所提供的服務是指通過檢驗客戶端發(fā)送來的身份標識，來判斷該請求者是否有權使用認證系統(tǒng)所提供的網(wǎng)絡服務。

認證服務器通常為Radius服務器，該服務器可以存儲有關用戶的認證、計費、業(yè)務信息。

3 PPPoE簡介

PPPoE是一種通過一個遠端接入設備為以太網(wǎng)上的主機提供接入服務，并可以對接入的每個主機實現(xiàn)控制和計費的技術。

PPPoE使用Client/Server模型，PPPoE的客戶端為PPPoE Client，PPPoE的服務器端為PPPoE Server。PPPoE Client向PPPoE Server發(fā)起連接請求，兩者之間會話協(xié)商通過后，PPPoE Server向PPPoE Client提供接入控制、認證等功能。

根據(jù)PPP會話的起止點所在位置的不同，有兩種組網(wǎng)結構：

第一種方式在設備之間建立PPP會話，所有主機通過同一個PPP會話傳送數(shù)據(jù)。主機上不用安裝PPPoE客戶端撥號軟件，一般是一個企業(yè)共用一個賬號。

第二種部署方式，PPP會話建立在Host和運營商的路由器之間，為每一個Host建立一個PPP會話。每個Host都是PPPoE Client，每個Host一個帳號，方便運營商對用戶進行計費和控制。Host上必須安裝PPPoE客戶端撥號軟件[1]。

4 802.1x協(xié)議和PPPoE協(xié)議的對比

4.1 802.1x的優(yōu)點

802.1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。

通過組播實現(xiàn)，解決其他認證協(xié)議廣播問題。對組播業(yè)務的支持性好。業(yè)務報文直接承載在正常的二層報文上。用戶通過認證后，業(yè)務流和認證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求。

4.2 802.1x的缺點

需要特定的客戶端軟件：由于802.1x是比較新的二層協(xié)議，要求接入層交換機支持認證報文透傳或完成認證過程。因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題。

4.2.1 IP地址分配和網(wǎng)絡安全問題

802.1x協(xié)議是一個2層協(xié)議，只負責完成對用戶端口的認證控制。完成端口認證，用戶進入三層IP網(wǎng)絡后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡安全等問題。因此，單靠以太網(wǎng)交換機結合802.1x的模式，無法全面解決網(wǎng)絡接入的可運營、可管理以及接入安全性等方面的問題。

4.2.2 計費問題

802.1x協(xié)議可以根據(jù)用戶完成認證和離線間的時間進行時長計費，但不能統(tǒng)計流量，因此無法開展基于流量的計費或滿足用戶永遠在線的要求[2]。

4.3 PPPoE的優(yōu)點

（1）傳統(tǒng)PSTN窄帶撥號接入技術在以太網(wǎng)接入技術的延伸；（2）和原有窄帶網(wǎng)絡用戶接入認證體系一致；（3）最終用戶相對比較容易接收。

4.4 PPPoE的缺點

（1）PPP協(xié)議和Ethernet技術本質上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低；（2）PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡性能產(chǎn)生很大的影響；（3）組播業(yè)務開展困難，而視頻業(yè)務大部分是基于組播的；（4）需要提供客戶終端軟件，維護工作量過大；（5）PPPoE認證一般需要外置BAS設備（Broadband Access Server），認證完成后，業(yè)務數(shù)據(jù)流也必須經(jīng)過BAS設備，這容易造成單點瓶頸和故障。

5 晉煤集團網(wǎng)絡所采用的協(xié)議

晉煤集團網(wǎng)絡現(xiàn)分為辦公網(wǎng)和信息網(wǎng)。生產(chǎn)網(wǎng)是為了滿足各單位及各礦井生產(chǎn)數(shù)據(jù)的上傳和各應用系統(tǒng)的正常運行。信息網(wǎng)主要是為了滿足人們的日常上網(wǎng)需求，為其提供巨大的信息資源和服務資源。

結合晉煤集團的網(wǎng)絡現(xiàn)狀，由于辦公網(wǎng)采用了固定IP地址，而且根據(jù)子分公司劃分了子網(wǎng)及VLAN，綜合上述協(xié)議的特點，選用了802.1X協(xié)議作為辦公網(wǎng)的認證計費協(xié)議[3]。

信息網(wǎng)是面向家庭用戶的，家庭用戶普遍具有動態(tài)IP，無線Wi-Fi的需求，而且每個用戶之間都是隔離的。綜合上述協(xié)議的特點，選用了PPPOE協(xié)議作為信息網(wǎng)的認證計費協(xié)議。

[1]陳湘源.煤礦無線通信系統(tǒng)的現(xiàn)狀與發(fā)展[J].工礦自動化，2009（1）：33-36.

[2]熊卿青，鄧媛.現(xiàn)代無線通信技術的現(xiàn)狀分析及其發(fā)展前景[J].科技創(chuàng)新導報，2012（2）：31.

[3]呂志強.煤礦井下通信系統(tǒng)的現(xiàn)狀及趨勢[J].中國煤炭，2014（5）：89-92.

Application of 802.1X and PPPoE Authentication in Jincheng Anthracitemining Mining Group Network

Chen Lijun

Shanxi Jincheng Anthracitemining Mining Group Communications Branch Operation and Maintenance Center,Shanxi Jincheng 048006

There are two common methods of authentication in computer networks: 802.1X and PPPoE. The paper briefly introduces the advantages and disadvantages of the two authentication methods and the network status of Jin coal group.

802.1X protocol; PPPoE protocol; identity authentication

TP393.18

A

1009-6434（2017）10-0037-02